Роскомнадзор предлагает усилить ответственность за незаконную обработку персональных данных

Роскомнадзор опубликовал поправки в Кодекс об административных правонарушениях (КоАП), усиливающие ответственность за нарушение закона «О персональных данных». Сейчас за обработку персональных данных без согласия человека физлица и компании платят штраф до 10 000 руб. Законопроект увеличивает его до 1000–2000 руб. для физлиц, 5000–7000 руб. и 30 000–50 000 руб. для должностных и юридических лиц. К списку нарушителей добавляются индивидуальные предприниматели (штраф – 15 000–20 000 руб.). Кроме того, Роскомнадзор предлагает ввести оборотные штрафы для предпринимателей и компаний: 0,5–2% от совокупного дохода за прошлый год (но есть минимальные суммы) в зависимости от статьи.

Оборотные штрафы несоразмерны ущербу, который может возникнуть в результате нарушений при обработке персональных данных, считает представитель МТС Валерия Кузьменко, например, нарушения в работе оборудования или другие не зависящие от операторов персональных данных причины – как правило, такие нарушения не затрагивают интересы большого количества людей. Нужно, чтобы штраф зависел от тяжести последствий, уверена Кузьменко. Максимум в 2% от совокупного дохода компании за прошедший год несоразмерен возможной тяжести правонарушения, так как для крупных компаний сумма штрафа может составить десятки миллионов рублей, говорит представитель «Мегафона» Дмитрий Смиркин, добавляя, что КоАП не содержит таких санкций, как оборотные штрафы, ни за одно из возможных административных правонарушений.

Операторы персональных данных часто не соблюдают закон, а слишком долгая процедура проверки прокуратурой собранных Роскомнадзором фактов нарушения делает почти невозможным привлечение нарушителей к ответственности, говорится в пояснительной записке к законопроекту. В первом полугодии ведомство отправило в органы прокуратуры 287 материалов о нарушениях, а административные дела были возбуждены лишь в 22 случаях. Поэтому Роскомнадзор предлагает передать ему полномочия по возбуждению таких дел, а также увеличить штрафы за такие нарушения. Минэкономразвития поддержало увеличение штрафов, следует из документа. Представитель Минэкономразвития не стал это комментировать.

К операторам персональных данных относятся почти все госорганы, компании и физлица, имеющие разный доход, говорится в пояснительной записке. Применение оборотных штрафов позволит суду при определении наказания учитывать уровень дохода конкретного оператора с учетом всех обстоятельств дела. Размеры штрафов – средневзвешенные, это приводит наше законодательство к европейским нормам.

Проблема не в оборотных штрафах (в Европе их введут через два года), а в том, что в европейском законодательстве есть четкие и понятные разъяснения, а у нас требования двойственные и разъяснений от регулятора не было, говорит сотрудник IT-компании.

Например, есть проблемы с трансграничной передачей персональных данных: чтобы передавать такие данные в другую страну, по закону нужно письменное разрешение человека (а его почти невозможно получить, например, иностранной интернет-компании). По закону должен быть утвержден список стран с адекватной защитой прав субъектов персональных данных, куда данные можно передавать по облегченной процедуре. Орган исполнительной власти должен был разработать этот список, но его до сих пор нет, говорит партнер юридической фирмы Salans Виктор Наумов.

Эти поправки – неизбежная реакция на увеличение количества баз, содержащих персональные данные: обычному человеку непонятно, где, когда и на каком основании эти данные собираются и как используются, говорит руководитель отдела интернет-решений «Лаборатории Касперского» Андрей Ярных, надеясь, что штраф в 1,5–2% от дохода все же достаточно значим, чтобы задуматься о необходимости получения таких данных и исключении неправомочного доступа к ним и сроках их хранения.